Privacybeleid

Versie 1.0 · Laatst bijgewerkt op 27 april 2026

SpectIQ is het AI-gedreven platform waarmee bouwkundig inspecteurs hun rapportages opstellen. Wij vinden uw privacy en die van uw klanten belangrijk en zijn transparant over wat wij doen met persoonsgegevens. Heeft u een vraag of wilt u een recht uitoefenen? Mail ons op privacy@spectiq.nl.

Inhoud

1. Wie wij zijn
2. Welke persoonsgegevens wij verwerken
3. Waarvoor wij verwerken (en op welke grondslag)
4. Met wie wij delen
5. Doorgifte buiten de EER
6. Bewaartermijnen
7. Beveiliging
8. Uw rechten
9. Cookies
10. Wijzigingen
11. Contact

1. Wie wij zijn

SpectIQ wordt geëxploiteerd door MagicEverse B.V. (handelsnaam: SpectIQ) gevestigd in Nederland. Het platform is bereikbaar via dashboard.spectiq.nl. Voor de gegevens die wij over u als gebruiker (de inspecteur) verwerken zijn wij de verwerkingsverantwoordelijke in de zin van artikel 4 AVG.

Voor de gegevens die u via SpectIQ verwerkt over uw eigen opdrachtgevers en eindklanten (bijvoorbeeld bewoners of pandeigenaren) bent u zelf de verwerkingsverantwoordelijke en zijn wij uw verwerker. De afspraken hierover staan in onze verwerkersovereenkomst (DPA).

Wij hebben geen Functionaris voor Gegevensbescherming aangesteld omdat wij niet structureel op grote schaal bijzondere persoonsgegevens verwerken. Wel hebben wij een privacycontactpersoon die u kunt bereiken via privacy@spectiq.nl.

2. Welke persoonsgegevens wij verwerken

Hieronder per categorie. Vrije-tekstvelden (notities, projecttitels, sectie-inhoud) kunnen ook gegevens bevatten die u zelf invoert; daar bent u verantwoordelijk voor de inhoud.

Categorie	Voorbeelden	Bron
Account	naam, e-mail, telefoonnummer, profielfoto, bedrijfsnaam	aanmaak account / instellingen
Authenticatie	one-time-password (OTP), sessie-token, IP-adres, user-agent	inloggen
Werkruimte / facturatie	bedrijfsnaam, KvK-nummer, BTW-nummer, adres, factuur-e-mail, Stripe customer-ID	onboarding / abonnement
Klantadministratie (door u ingevoerd)	namen, adressen, e-mailadressen, telefoonnummers van uw opdrachtgevers	klantenpagina
Project- / inspectiegegevens	objectadres, bouwjaar, oppervlakte, bevindingen, kostenposten	nieuw-project formulier + editor
Foto's (incl. EXIF-data)	afbeeldingen van panden — kunnen GPS-coördinaten, gezichten van omstanders of kentekens bevatten	upload-knop in de foto's tab
Spraakmemo's	audio-opnames van inspecteurs en bijbehorende teksttranscripties	spraakmemo-recorder
AI-gegenereerde tekst	conceptrapportagetekst gegenereerd door een taalmodel op basis van uw input	AI Genereren-knop
Gebruikslog	welke acties wanneer (rapport aangemaakt, AI-generatie, project-statuswijziging)	automatisch
Reviewer-/portaalgegevens	e-mail en naam van personen die het rapport mogen inzien	delen-knop

3. Waarvoor wij verwerken (en op welke grondslag)

Doel	Grondslag (Art. 6 AVG)
Het verlenen van het platform en het opstellen van rapporten	Uitvoering overeenkomst (lid 1b)
Authenticatie en sessiebeheer	Uitvoering overeenkomst (lid 1b)
Facturatie, abonnementsadministratie en BTW-aangifte	Uitvoering overeenkomst + wettelijke verplichting (lid 1b/c)
Detectie van misbruik, fraude en oneigenlijk gebruik van de dienst	Gerechtvaardigd belang (lid 1f)
Productverbetering en kwaliteitsbewaking van AI-uitvoer (geanonimiseerd waar mogelijk)	Gerechtvaardigd belang (lid 1f)
Transactionele e-mail (OTP, uitnodigingen, status)	Uitvoering overeenkomst (lid 1b)

Wij nemen geen uitsluitend geautomatiseerde besluiten met rechtsgevolgen of vergelijkbaar wezenlijke gevolgen. AI-uitvoer is altijd een concept dat door de inspecteur wordt gecontroleerd en geredigeerd voordat een rapport wordt vastgesteld.

4. Met wie wij delen

Wij verkopen geen persoonsgegevens. Voor het leveren van het platform schakelen wij sub-verwerkers in. De volledige lijst, met doel, regio en doorgiftewaarborg, vindt u op de sub-verwerkerspagina. De belangrijkste zijn:

Railway Corp. — hosting in Nederland (europe-west4).
Cloudflare — CDN, WAF en R2-objectopslag (foto's en bijlagen) in de EU.
Stripe Payments Europe Ltd. — abonnementsbilling en kaartverwerking.
Amazon Web Services SES — versturen van OTP- en uitnodigingsmail vanuit de EU (Ierland).
Anthropic, OpenAI en Haimaker — AI-tekstgeneratie en spraak-naar-tekst (Whisper).
Kadaster (BAG), PDOK en RVO EP-Online — publieke Nederlandse overheidsregisters voor adres- en energielabel-data.

5. Doorgifte buiten de EER

Een deel van onze sub-verwerkers (Anthropic, OpenAI, Stripe Inc., Cloudflare Inc., Railway Corp.) is gevestigd in de Verenigde Staten. Doorgifte vindt plaats onder de volgende waarborgen:

EU-US Data Privacy Framework (DPF) waar de leverancier gecertificeerd is (o.a. Stripe, Cloudflare, OpenAI), en
Standaard contractuele clausules (SCC's) conform Uitvoeringsbesluit (EU) 2021/914.

Foto's, spraakmemo's en bijlagen worden bij voorkeur in de EU opgeslagen (Cloudflare R2 EU, AWS SES eu-west-1). De prompts die wij naar AI-leveranciers sturen kunnen vrije tekst bevatten die u typt of inspreekt; verzoek aan u: noem geen onnodige persoonsgegevens van uw klanten in spraakmemo's.

6. Bewaartermijnen

Categorie	Bewaartermijn
Account- en werkruimtegegevens	Tot 90 dagen na opzegging van het abonnement; daarna definitief verwijderd
Rapporten, foto's, bijlagen, spraakmemo's	Gedurende de looptijd van het account; na opzegging idem (90 dagen verwijdertermijn)
Factuur- en betaalgegevens	7 jaar (wettelijke fiscale bewaarplicht artikel 52 AWR)
Authenticatielogs (IP, user-agent)	12 maanden
Gebruikslogboek	24 maanden
Back-ups	30 dagen rolling — daarna automatisch gewist

7. Beveiliging

Wij beveiligen uw gegevens met TLS in transit, schijfencryptie at-rest, toegangscontrole per werkruimte en een nachtelijke back-up naar twee onafhankelijke locaties in de EU. Een uitgebreide toelichting vindt u op de beveiligingspagina.

8. Uw rechten

U heeft op grond van de AVG het recht op:

inzage in uw persoonsgegevens (artikel 15)
rectificatie van onjuiste gegevens (artikel 16)
verwijdering — "recht op vergetelheid" (artikel 17)
beperking van de verwerking (artikel 18)
gegevensoverdraagbaarheid (artikel 20)
bezwaar tegen verwerking op basis van gerechtvaardigd belang (artikel 21)
intrekking van eerder gegeven toestemming (artikel 7 lid 3)

U kunt deze rechten uitoefenen door een mail te sturen naar privacy@spectiq.nl. Wij reageren binnen één maand. Bent u het oneens met onze afhandeling, dan kunt u een klacht indienen bij de Autoriteit Persoonsgegevens.

9. Cookies

Op het marketingdomein spectiq.nl en op het applicatiedomein dashboard.spectiq.nl plaatsen wij uitsluitend strikt noodzakelijke cookies voor het functioneren van de dienst:

better-auth.session_token en better-auth.session_data — uw inlogsessie (httpOnly, secure, SameSite=Lax, 30 dagen).
Een eventuele theme-voorkeur in localStorage (light/dark mode).

Wij plaatsen geen marketing-, tracking- of analytics-cookies. Daarom is er ook geen cookie-banner op de site. Stripe Checkout en de Customer Portal worden op door Stripe gehoste pagina's geserveerd; daar gelden de cookies die Stripe daar zelf plaatst.

10. Wijzigingen

Wijzigingen in dit privacybeleid kondigen wij aan op deze pagina en — indien materieel — per e-mail aan workspace-eigenaren, minimaal 30 dagen vóór inwerkingtreding.

11. Contact

MagicEverse B.V. (handelend onder de naam SpectIQ)
E-mail: privacy@spectiq.nl
Algemeen contact: info@spectiq.nl